白宮特供通信軟體Confide被發現存在漏洞，可查看特朗普聊天記錄

據外媒報道，美國白宮和美國國會工作人員溝通工作時使用的自認為安全的通信軟體被發現存在安全漏洞。

Confide是特朗普上台之後指明政府部門使用的一款安全通信軟體，據稱Confide使用的是軍事級別的端對端加密方式，消息在讀取後便會消失能夠保障用戶之間的通信安全，任何人都不可能劫持或讀取用戶通信數據。

然而，Confide的這種保障卻被赤裸裸的打臉了。來自IOActive的安全研究員在Confide上發現了數個嚴重漏洞。Windows、Mac OS X、Android版的Confide均受影響。

攻擊者可修改Confide通信信息

安全人員發現，利用Confide上的漏洞可執行以下操作：

1. 因為Confide並沒有對暴力破解攻擊進行限制，所以攻擊者可劫持賬戶session或者猜測賬戶密碼

2. 查看並竊取聯繫人信息，包括真實用戶名、郵箱地址、手機號碼

3. 用中間人攻擊劫持會話信息，並解密會話

4. 更改通信信息或者附件信息

5. 將修改後的會話信息發送出去，可能會致使通信軟體崩潰、運行速度變慢

兩天的時間內，安全研究員通過利用Confide漏洞已經成功訪問了7000多個用戶的通信記錄。

危及特朗普機密信息安全

IOActive的安全研究員Mike Davis、Ryan OHoro、Nick Achatz總共發現了11個安全漏洞，並且已經提交給了Confide開發者。除此之外，安全研究員們還在iOS版的Confide上發現了一系列的設計漏洞，也可能會泄露用戶信息。

Quarkslab的安全研究員在分析完Confide代碼之後，於本周三公布了一個exp。

Confide公司也可以讀取你的信息

據安全研究員的介紹，通過設置中間人，Confide伺服器也可以讀取你的通信信息。像Confide聲稱的可以永久性的刪除信息，禁止截屏等操作也是可以被安全研究員推翻的。

安全人員表示：

Confide的端對端加密技術還沒有到達爐火純青的地步。開發一款即時通信軟體並不是一件容易的事情，從技術上來說，它應該從一開始就部署強大的安全機制。

Quarkslab的安全研究員稱，他們可以繞過Confide的數層防護機制，包括應用程序簽名、代碼混淆、證書鎖定。

關於Confide漏洞的詳情，請點擊IOActive公告和Quarkslab博客查看。

本文參考來源於thehackernews，如若轉載，請註明來源於嘶吼： 白宮特供通信軟體Confide被發現存在漏洞，可查看特朗普聊天記錄

推薦閱讀：